【正文】 面獲得了本質(zhì)的性能提升，如下表所示：關(guān)鍵點采用的先進技術(shù)達到的技術(shù)效果用戶價值和作用日志采集異步通訊、高速緩存、日志范式化流水線技術(shù)能夠?qū)Ａ慨悩?gòu)日志進行持續(xù)不斷地高速采集能夠采集網(wǎng)絡(luò)中大規(guī)模審計對象的日志日志存儲高速日志存儲、分布式數(shù)據(jù)存儲技術(shù)TB級日志存儲存儲長時間的日志信息，滿足合規(guī)的要求日志分析實時分析內(nèi)存實時計算、復(fù)雜事件處理（Complex Event Process，簡稱CEP）技術(shù)實時地對日志進行監(jiān)視和關(guān)聯(lián)分析及時發(fā)現(xiàn)安全異常，快速關(guān)聯(lián)出安全隱患查詢分析全文檢索、分布式查詢技術(shù)能夠快速的從TB級的日志信息中返回查詢結(jié)果快速從海量日志中進行定點查詢統(tǒng)計分析數(shù)據(jù)抽取、數(shù)據(jù)摘要等技術(shù)能夠?qū)崿F(xiàn)對TB級日志的快速報表生成快速生成各類安全日報、周報、月報等 詳盡的日志范式化與日志分類LEADSECRS對收集的各種日志進行范式化處理，將各種不同表達方式的日志轉(zhuǎn)換成統(tǒng)一的描述形式。用戶可以自定義儀表板，按需設(shè)計儀表板顯示的內(nèi)容和布局，可以為不同角色的用戶建立不同維度的儀表板。系統(tǒng)可以為用戶展示一幅審計數(shù)據(jù)源的拓撲圖，反映審計數(shù)據(jù)源的網(wǎng)絡(luò)拓撲關(guān)系，并且在拓撲節(jié)點上標注出每個審計數(shù)據(jù)源的日志量和告警事件量。審計數(shù)據(jù)源影響性分析– 以遠程日志采集為主，基本不必安裝在審計數(shù)據(jù)源上日志代理– 主要采取被動采集技術(shù)，不會對審計數(shù)據(jù)源發(fā)起主動連接，不影響審計數(shù)據(jù)源的現(xiàn)有安全機制網(wǎng)絡(luò)影響性分析– 系統(tǒng)部署無需修改網(wǎng)絡(luò)拓撲– 支持多端口日志采集和分布式日志采集器部署，可以就近分別采集多個網(wǎng)段的日志，減少日志流量的匯聚– 日志采集器在上傳日志的時候支持數(shù)據(jù)壓縮，降低網(wǎng)絡(luò)帶寬占用；支持定時上傳，可以避開網(wǎng)絡(luò)流量繁忙期 友好的用戶交互體驗，具備友好的用戶交互體驗。通過首頁，能夠快速的導(dǎo)航到各個功能。 日志采集系統(tǒng)能夠采集各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志，通過Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等協(xié)議進行采集。通過過濾操作，可以剔除掉無用的日志信息，降低日志噪音。用戶可以對日志采集器進行登記、注銷，進行日志采集參數(shù)的配置，設(shè)定范式化、過濾、歸并、轉(zhuǎn)發(fā)的參數(shù)。對于實時監(jiān)視中的日志，用戶可以進行追蹤調(diào)查，進行源目標IP地址世界地圖定位，并可以以圖形化的方式展示日志之間的行為關(guān)系。系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達式的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。 參考知識管理系統(tǒng)內(nèi)置日志字典表，記錄了主流設(shè)備和系統(tǒng)的日志ID的原始含義和描述信息，方便審計人員在進行日志審計的時候進行參考。 日常安全運維工作的有力工具對于日常安全運維而言，核心的工作內(nèi)容就是對IT網(wǎng)絡(luò)進行持續(xù)監(jiān)測，確保網(wǎng)絡(luò)、主機、應(yīng)用、重要信息和人員資產(chǎn)的安全。 應(yīng)用安全 　 安全審計（G3） a) 應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計； c) 審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等； d) 應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。企業(yè)應(yīng)當在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計性 《商業(yè)銀行內(nèi)部控制指引》 第一百二十六條 商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序等均當設(shè)置必要的日志。 第四十四條 對主機系統(tǒng)進行審計，妥善管理并及時分析處理審計記錄。 針對中大型網(wǎng)絡(luò)中IT資產(chǎn)多、日志量大的特點，LEADSECRS支持級聯(lián)和分布式部署的方式，配合系統(tǒng)高性能的日志采集技術(shù)，能夠?qū)崿F(xiàn)日志的集中化存儲與審計，降低客戶滿足合規(guī)性要求的總體成本。 《銀行業(yè)信息科技風險管理指引》 第二十五條 對于所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全，在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)控情況。對于采集的所有日志記錄信息，都記錄了日期、時間、類型、主體標識、客體標識和結(jié)果等信息，同時原封不動地保存了原始日志信息。借助LEADSECRS，客戶能夠統(tǒng)一收集來自網(wǎng)絡(luò)中IT資產(chǎn)的日志信息，通過分析日志中的安全事件，識別各類性能故障、非法訪問控制、不當操作、惡意代碼、攻擊入侵，以及違規(guī)與信息泄露等行為，協(xié)助客戶安全運維人員進行安全監(jiān)視、審計追蹤、調(diào)查取證、應(yīng)急處置、生成各類報表報告，成為客戶日常安全運維的有力工具。系統(tǒng)提供用戶集中管理的功能，對用戶可以訪問的資源進行細致的權(quán)限劃分，具備安全可靠的分級及分類用戶管理功能，支持用戶的身份認證、授權(quán)、用戶口令修改等功能。告警動作支持事件屬性重定義、彈出提示框、發(fā)送郵件、發(fā)送SNMP Trap、發(fā)送短信、執(zhí)行命令腳本、設(shè)備聯(lián)動、發(fā)送飛鴿傳書、發(fā)送MSN、發(fā)送Syslog等方式。審計員可以查看一段時間內(nèi)的主機流量排行、主機登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡(luò)設(shè)備故障排行、最多訪問用戶排行，等等。用戶可以在被審計設(shè)備/系統(tǒng)上安裝日志代理，采集到日志后，發(fā)送給日志審計系統(tǒng)。日志過濾和合并策略可以用戶自定義，系統(tǒng)默認不進行過濾和合并。系統(tǒng)也支持通過日志采集器和日志代理的方式采集日志，完全取決于用戶的實際需要。用戶可以自定義儀表板，按需設(shè)計儀表板顯示的內(nèi)容和布局，可以為不同角色的用戶建立不同維度的儀表板。 完善的系統(tǒng)自身安全性保證LEADSECRS具備完善的自身安全性設(shè)計，保證系統(tǒng)自身的安全等級符合用戶的整體安全策略。針對安全日志，用戶可以對其源目的IP地址進行追蹤，并在世界地圖上標注出來。審計員可以實時監(jiān)視防火墻、IDS、防病毒、網(wǎng)絡(luò)設(shè)備、主機和應(yīng)用的高危安全事件；可以實時監(jiān)視各個部門、各個安全域、各個業(yè)務(wù)系統(tǒng)的重點安全事件；可以實時監(jiān)視全網(wǎng)的違規(guī)登錄事件、配置變更事件、針對關(guān)鍵服務(wù)器的入侵攻擊事件；等等。系統(tǒng)提供的范式化字段包括日志接收時間 、日志產(chǎn)生時間、日志持續(xù)時間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名稱、摘要、等級、原始等級、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等，數(shù)量超過50個，使范式化后的日志詳盡而易讀，更能滿足復(fù)雜的多維度統(tǒng)計分析和審計要求。綜合存儲空間是指日志范式化后占用的存儲空間字節(jié)數(shù)，原始日志占用存儲空間字節(jié)數(shù)，為日志建立索引所需的存儲空間字節(jié)數(shù)，以及日志統(tǒng)計表存儲空間字節(jié)數(shù)的總和。 支持審計數(shù)據(jù)源目前，LEADSECRS支持的部分廠商設(shè)備類型如下表所示：設(shè)備類型廠商或產(chǎn)品交換機Cisco、Extreme、Juniper、博科、華為、H3C、神州數(shù)碼、銳捷 路由器Cisco、Extreme、Juniper、華為、H3C、神州數(shù)碼、銳捷 防火墻 /UTM/USG 網(wǎng)御星云、Cisco、Juniper Netscreen、飛塔、Checkpoint、Nokia、Bluecoat、